𝚂𝚚𝚞𝚊𝚍 𝚘𝚏 𝚝𝚑𝚎 𝙲𝚢𝚋𝚎𝚛𝚂𝚌𝚘𝚞𝚝𝚜 💻📲

IoC'и и почему они бывают "устаревшими"? Немного теории Индикаторы компрометации (IoC'и) представляют собой технические данные, которые можно использовать для идентификации действий или инструментов атакующих, например вредоносной инфраструктуры (имена хостов, доменные имена, IP-адреса), коммуникаций (URL-адреса, схемы обмена данными) или имплантов (хэши, пути к файлам, разделы и значения реестра Windows, артефакты, записанные вредоносными процессами в память, и др.) (Определение отсюда: https://securelist.ru/how-to-collect-and-use-indicators-of-compromise/106352/) Иными словами, это некие показатели (цифровые следы, если так удобно), которые ранее были засвечены в кибератаках, в связи с чем наличие их в вашей системе указывает на то, что вы потенциально были взломаны. Теперь к практике Но так ли все просто? Давайте разбираться: Как мы поняли выше, IoC'ами могут быть: 1) хеши файлов 2) пути к файлам 3) URL-ки 4) Адреса электронной почты 5) IP-адреса И если с первыми четырьмя все ясно, то вот с пятым постоянно возникают проблемы и вопросы, особенно когда кто-то подключает свои СЗИ к "поставщикам" этих IoC'ов Нередко задают вопросы: Почему ЭТО отражается как IoC? Это же всего лишь сайт (условно) волгоградской аптеки? Давайте разбираться: 1) Дело в том, что в основе своей IoC'и действительно указывают на связь с какой-либо малварью, C2-сервером и т.д. По идее, указанные данные должны проверяться всеми вендорами и поставщиками индикаторов компрометации едва ли не вручную. Но так делается не всегда и иногда собирают все подряд с вирустотала и аналогичных сервисов. Тут и возникают фолс-позитивы. 2) Ботнет. Сервер, имеющий данный IP-адрес, мог быть банально заражен, став одним из армии "зомби-компьютеров". И да. на нем при этом может лежать сайт волгоградской аптеки, но это не отменяет того, что он принимает участие в кибератаках. 3) Сервер был передан другому заказчику. К примеру, злодей арендовал выделенку, поднял на ней vpn и попытался атаковать ряд сайтов. На него пожаловались. Жалоба дошла до хостинг-провайдера. Он "выгнал" арендатора, передал другому, а тот оказался вполне безобидным, опять же, тем же парикмахером из Волгограда. Такие ситуации нечастые, но имеют место быть. Вывод Да, среди IoC'ов так или иначе будет процент фолс-позитивных сработок. Хотите вы того или нет. Поэтому нужно стараться перепроверять каждый случай по мере возможностей. #хацкеры #экстренныесоветы

Об инструментах "на коленке" пост Иногда сталкиваюсь с тем, что коллеги по цеху пишут/говорят про тот или иной инструмент, что он "да ваще ниочем, любой школьник сделает, ничем не отличается от глаза, и вообще это не уровень" Возможно, да. Многие инструменты, которые использую я, используют мои знакомые, коллеги, действительно просты в исполнении. На них не нужна огромная команда кодеров, 100500 терабайтное железо и доступ к архиву ЦРУ с помощью искусственного интеллекта и машинного обучения. Какие там еще есть умные слова то? Напомните. Однако, мне кажется, все подобные разговоры пропадают тогда, когда встает нужда сделать реальный результат, получить информацию, провести анализ, выдвинуть версию, ну и, как бы банально оно не звучало, написать ОТЧЕТИК, который устроит заказчика, а главное - описать все ясным и очевидным языком. В конечном итоге, "прорыв" в расследовании чаще всего дает что-то банальное (совпадение ника, картинки), что действительно "пробивается" простыми, но надежными инструментами. Случаи, когда этот самый "прорыв" был результатом более глубокого расследования, также случаются, однако здесь все-таки решают настойчивость, внимание, аналитика и другие навыки специалиста, а не сложность инструмента. А вот мега-супер-гига решения, продающиеся за бешеные деньги, сопровождающиеся кучей пафосных слов (нейронные сети, ПАК, ИИ, машинное обучение и тд) иногда дают просто кучу мусора, собранного с огромного количества источников, которые могут только заблудить и не дать ни одной толковой версии. К примеру, Игорь (@irozysk, @tomhunter) довольно давно научил меня ряду простых приемов и методов проведения расследований. И они до сих пор дают результат в весьма сложных и неординарных кейсах. До сих пор дают "прорыв", когда расследование стопорится. Это, кстати, была не реклама. По итогу, начинающим специалистам могу посоветовать не найти как можно больше ПО, а потом пробовать применять их в реальных кейсах, а практиковаться, учиться и под конкретные задачи искать/подбирать инструментарий. Сэкономите время и нервы. #экстренныесоветы #осинт

Многое уже было сказано о данном инструменте (telegram боте), однако я уверен, что пост окажется полезен для новичков и не только. ✔️ Telegram бот "Insight", согласно его описанию, предоставляет обезличенные данные интересов на основе активности пользователей telegram в супергуппах. ✔️ Пошаговый обзор #OSINT #Insight #TelegramBot #анализданных

Коллега написал хороший разбор по очень толковому боту. Советую почитать перед тем, как начать использовать

SQLmap и что нужно понимать? Инструмент SQLmap предназначен для автоматической проверки веб-приложения на уязвимость к SQL-инъекциям. Однако что нужно понимать? Этот инструмент, которым надо УМЕТЬ пользоваться. Тут не прокатит вставить URL-ку и ждать, что прога все сделает. Более того, если вы так поступите, то она и не увидит ничего. Не верите? Возьмите любую лабу на portswigger сложнее самой легкой и убедитесь. Этой тулзой надо уметь пользоваться, изучить функционал, прописывать заголовки, указывать верные параметры. А для начала лучше всего вручную или с помощью секлистов проверить: есть ли потенциальная возможность внедрить инъекцию или нет? Если вы увидели, что идет реакция приложения, то уже указав конкретный заголовок, адрес конкретной страницы, по возможности, выяснив версию базы данных, можете попробовать автоматизировать скульмапом составление пэйлода. Потому что составлять пэйлод самому - тяжкая задача, даже если знаком с синтаксисом SQL. #инструменты #хацкеры

Об обучении OSINT ЭТО НЕ ПРОДАЖА МОИХ КУРСОВ! У МЕНЯ ИХ НЕТ (ПОКА ЧТО, ПО КРАЙНЕЙ МЕРЕ). Я ОБУЧАЮ ТОЛЬКО В РАМКАХ КОНКРЕТНОЙ ТЕМЫ И ТОЛЬКО КОГДА ПРИГЛАШАЮТ!) Часто спрашивают: как обучаться OSINT? Коротко, на личном опыте, сложилось следующее мнение: для начала нужно определиться, с какой целью и чему именно ты хочешь обучаться? Сбор технической информации о веб-приложениях, серверах, сервисах? Это одно. Искать злодеев? Уже другое. Проверять на благонадежность контрагентов и кандидатов? Третье. Хочешь быть универсальным специалистом, чтобы уметь всё это? Замечательно, но это уже совсем другая история. Я полагаю, что тот, кто задает вопрос "Как обучиться OSINT?", имеет ввиду именно последний вариант, а именно - стать универсальным специалистом. В таком случае, я советую как можно скорее переходить к практике, параллельно найдя какой-нибудь общий курс по OSINT, в котором коротко обозреваются все эти темы. А уже выполняя конкретные задачи, сложится понимание, где надо углубиться, какую тему подтянуть, по какому направлению взять уже отдельный курс. И нужно учесть несколько пунктов: 1) Самый важный инструмент OSINT-специалиста - это умение грамотно анализировать информацию, делать правильные выводы и не торопиться с ними до проведения максимально тщательного исследования. Со временем еще и вырабатывается интуиция. 2) Технические знания, при чем неплохие, пусть и неуглубленные - необходимы. Модель OSI, компьютерные сети, работа веб-приложений, технология NAT, виды кибератак и методов и средств противодействия им, сотовая связь и т.д. - все эти темы нужно изучить, если вы хотите быть универсалом. 3) Все равно вы не сможете быть максимально опытным специалистом абсолютно во всех сферах. Со временем сложится конкретное направление, в котором и пройдет большая часть ваших исследований. Возможно, потому что наиболее интересное для вас, а возможно, потому что больше всего денег приносит. И вот в этом направлении нужно еще и развивать кругозор и общую осведомленность. #экстренныесоветы #осинт

Нашел два неплохих сервиса по поиску людей в забугорных соцсетях: pimeyes.com facecheck.id Не панацея, но при поиске вне РФ лишним не будет. Удобно, что можно кинуть сразу несколько фото, поэтому можно искать по стоп-кадрам с видео 👌

Отмыв денег Lazarus В кой-то веке Вулкан решил сделать пост Удивительно! Не так ли?) А там однако он нашел весьма интересную статью о том, как Lazarus отмывают свои нелегальные доходы @volcand

ffuf - прекрасный фаззер и находка пентестера Сегодня мы пройдемся по классике. Так как многие используют dirbuster, так как графический интерфейс привычнее многим, особенно начинающим, я бы хотел посоветовать базу и классику, а именно - ffuf. Он помогает нам быстро и оперативно брутить директории. Если надо - фаззить параметры формы авторизации, пробовать байпасить за счет этот личные кабинеты и админки. Удобный функционал в плане фильтрации и оформления результатов: -o /путь и название файла/ - и результат нам оформляется в текстовый файлик; -mc - можно фильтровать по коду ответа; И многое другое. Не забывайте старичка и пользуйтесь. #инструменты #хацкеры